The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:NBroadcom Symantec Messaging Gateway
APPBroadcom10.6.010.6.1Canonical Ubuntu
OSCanonical12.0412.1013.10Debian
OSDebian6.07.08.0Fedora Project Fedora
OSFedoraproject1920Filezilla Project Filezilla Server
APPFilezilla-Project< 0.9.44Intellian V100
HWIntellianwszystkie wersjeIntellian V100 Firmware
OSIntellian1.201.211.24Intellian V60
HWIntellianwszystkie wersjeIntellian V60 Firmware
OSIntellian1.151.25Mitel Micollab
APPMitel6.07.07.17.27.37.3.0.104Mitel Mivoice
APPMitel1.1.2.51.1.3.31.2.0.111.3.2.21.4.0.102OpenSSL
APPOpenssl1.0.1 – 1.0.1g (bez)Opensuse
OSOpensuse12.313.1Red Hat Enterprise Linux Desktop
OSRedhat6.0Red Hat Enterprise Linux Server
OSRedhat6.0Red Hat Enterprise Linux Server Aus
OSRedhat6.5Red Hat Enterprise Linux Server Eus
OSRedhat6.5Red Hat Enterprise Linux Server Tus
OSRedhat6.5Red Hat Enterprise Linux Workstation
OSRedhat6.0Red Hat Gluster Storage
APPRedhat2.1Red Hat Storage
APPRedhat2.1Red Hat Virtualization
APPRedhat6.0Ricon S9922l
HWRicon1.0Ricon S9922l Firmware
OSRicon16.10.3\(3794\)Siemens Application Processing Engine
HWSiemenswszystkie wersjeSiemens Application Processing Engine Firmware
OSSiemens2.0Siemens Cp 1543 1
HWSiemenswszystkie wersjeSiemens Cp 1543 1 Firmware
OSSiemens1.1Siemens Elan 8.2
APPSiemens< 8.3.3Siemens Simatic S7 1500
HWSiemenswszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- OpenSSL
- Produkti
- OpenSSL
- Data dodania do KEVi
- 4 maja 2022
- Termin remediation (USA)i
- 25 maja 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Implementacje TLS i DTLS w OpenSSL nie obsługują prawidłowo pakietów Heartbeat Extension, co umożliwia atakującym uzyskanie wrażliwych informacji.
▸ Pokaż oryginał (EN)
The TLS and DTLS implementations in OpenSSL do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information.
Powiązane podatności
Splunk Enterprise — tworzenie/skracanie plików bez uwierzytelnienia przez sidecar PostgreSQL
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)